SSLVPN项目解决方案.docx
- 文档编号:6658302
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:31
- 大小:51.23KB
SSLVPN项目解决方案.docx
《SSLVPN项目解决方案.docx》由会员分享,可在线阅读,更多相关《SSLVPN项目解决方案.docx(31页珍藏版)》请在冰豆网上搜索。
SSLVPN项目解决方案
XXX公司
VPN系统解决方案
建议书
北京天融信公司
2019年6月
第一章XXX公司网络现状及需求分析
一.1网络现状
XXX公司企业业务网络系统由企业总部和远程移动用户组成。
其中总部局域网络是整个网络系统的核心,为企业各类服务器所在地,同时也是网络管理中心。
各移动用户现在希望通过Internet与总部进行安全通信,具体需求如下:
企业现在有一个内部业务应用系统(基于B/S或C/S架构),由于业务的扩展,有很多业务人员在外办公,目前大概有1000名移动用户,为了能合理利用网络及内部资源,需提供一个简单可行的远程接入方案,把移动用户接入到内网,同时对这些用户能有效进行管理。
一.2需求分析
根据XXX公司现有的网络状况和业务情况,目前的需求分析如下:
●内网业务系统基于B/S结构,业务模式简单;
●移动办公人员众多,使用水平参差不齐;
●对移动办公人员的身份要求进行严格认证和监控;
●数据在Internet上传输时应保证足够的安全;
●该系统扩展性好,为以后的扩充更多用户做好准备;
●有良好的日志系统;
●整个接入系统安装方便、快捷,便于维护和管理。
基于以上分析,这是一个典型的VPN的接入需求。
天融信公司能提供基于IPSec和SSL的两种VPN解决方案,在本案中,用户的业务模式简单(仅基于B/S模式),用户数量众多,在此推荐采用SSL的解决方案。
以下我们将详细论述天融信SSLVPN解决方案。
第二章
VPN技术及天融信VONE产品
二.1VPN产品概述
二.1.1安全接入的应用趋势
随着电子政务和电子商务信息化建设的快速推进和发展,越来越多的政府、企事业部门已经或即将构建网上办公系统和业务应用系统,使内部办公人员通过网络可以迅速地获取信息,使移动办公等多种远程办公模式得以逐步实现,同时使合作伙伴人员也能够访问到相应的信息资源。
可是要享受通过互联网访问企业内部的信息资源的便利,就面临着非法访问、信息窃取等越来越多的来自外部和内部的安全威胁。
而我们目前所使用的操作系统、网络协议和应用系统不可避免地存在着不少的安全漏洞。
因此,在构建和应用这些应用系统时,必须要保障关键应用在开放网络环境中的安全,同时还需尽量降低实施和维护成本。
二.1.2安全接入的技术趋势
目前安全接入组网技术有多种,每种技术都有其适用范围和优点,同时也有一定的缺点。
主流的VPN技术主要有以下三种:
1.L2TP/PPTPVPN
L2TP/PPTPVPN属于二层VPN技术。
在windows主流的操作系统中都集成的L2TP/PPTPVPN拨号客户端软件;但是由于协议自身的缺陷,没有高强度的加密和认证手段,安全性较低;同时这种技术仅解决了移动用户的VPN访问需求,对于LAN-TO-LAN的VPN应用无法解决;
2.IPSecVPN
IPSecVPN属于三层VPN技术,协议定义了完整的安全机制,对用户数据的完整性和私密性都有完善的保护措施;同时工作在网络协议的三层,对应用程序是透明的,能够无缝支持各种应用;既能够支持移动用户的VPN应用,也能支持LAN-TO-LAN的VPN组网;支持多种网络拓扑结构。
其缺点是网络协议比较复杂,正确配置VPN隧道需要较多的专业知识;而且需要在移动用户的机器上安装单独的客户端软件。
3.SSLVPN
SSLVPN属于应用层VPN技术,协议定义了完整的安全机制,对用户数据的完整性和私密性都有完善的保护;由于在windows等操作系统中的IE浏览器已经支持了完整的SSL协议,因此原理上将对于B/S应用是无需安装客户端软件的,部署使用较为简单。
主要适用与移动用户接入并访问B/S结构的应用系统,对于C/S应用的支持仍然需要安装客户端的插件。
各种VPN技术都有其优点和缺点,用户的实际应用中,往往需要将这几种技术进行综合应用,才能满足较为复杂的用户需求。
天融信将这几种VPN技术有机的进行了整合,实现了在一台设备中同时支持上述几种主流的VPN组网技术,同时集成了业内成熟领先的防火墙和身份认证系统,形成了一个完整的安全接入解决方案。
二.1.3天融信VONE产品介绍
网络卫士VONE系列(IPSEC/SSLVPN多合一网关)是集天融信十几年研发经验,向用户提供的完整VPN接入解决方案,是天融信推出的最新一代网络安全接入产品。
该产品以天融信自主知识产权的TOS(TopsecOperatingSystem)为系统平台,采用开放性的系统架构及模块化的设计,融合了身份认证、访问控制等安全手段,具有安全、高效、易于管理和扩展等特点。
网络卫士VONE网关可为分支机构、移动办公员工、业务合作伙伴及客户提供各自所需的应用和资源的安全便捷接入服务。
产品的L2TP/PPTP/SSL功能无需安装任何客户端软件,也无需投入太多人力进行配置或长期的维护;产品完善的IPSECVPN功能可以方便的构筑与分支机构之间LAN-TO-LAN互联的VPN网络。
SSLVPN位于外部网络和内部网络之间,利用安全套接层(SSL)来提供安全的传输功能,而SSL在所有标准的Web浏览器中都具有的。
SSLVPN构建在经过强化的软硬件平台上,实现用户和资源的绑定。
天融信VONE网关可提供Web转发、应用Web化、端口转发和全网接入等多种接入方式,以适应不同的用户需求,同时还具备强大的访问控制权限管理、细粒度的审计和日志记录等功能。
网络卫士VONE网关包含完整的业界领先的专业防火墙功能,还具有内容过滤、入侵防御、带宽管理等功能,能为用户提供全面的网络边界安全防护解决方案。
二.2天融信VONE网关产品特点
1)自主安全操作系统平台
采用自主知识产权的安全操作系统—TOS(TopsecOperatingSystem),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。
TOS具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。
2)多种VPN技术有机融合
前面已经分析了目前主流的各种VPN技术的优缺点,这些技术有其不同的适用范围。
在实际的用户网络中,不同的用户需求往往需要多种VPN技术综合应用,在这种情况下往往需要用户购买多台不同的VPN设备来满足需求,这既浪费资源又带来用户管理维护的工作量,同时网络环境变得更加复杂,网络运行的稳定性和安全性都会面临新的挑战。
网络卫士VONE网关是天融信公司在多年各种独立的VPN产品研发和销售的基础上,推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。
在TOS平台强大的整合能力保障下,各种VPN模块进行了有机的整合,为用户提供一个统一完整的VPN接入平台。
3)安全接入与安全防护无缝结合
VPN网关作为网络边界设备,除了完成远端网络或移动用户的远程接入功能外,对用户网络边界安全也是至关重要的。
网络卫士VONE网关是构建在天融信强大的TOS系统平台基础上,集成了天融信业内领先的防火墙功能模块,能够为用户的VPN网络提供高等级的边界安全防护与访问控制。
天融信VPN网关具有强大的内容过滤功能,支持URL分类过滤,分类库大于700万条;支持挂马网站过滤;支持邮件过滤和反垃圾邮件功能。
还具完善的应用识别功能,用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、GoogleTalk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、带宽控制等。
网络卫士VONE网关支持完善的基于完全内容检测的访问控制技术。
防火墙检测技术发展至今,大致经历了三个阶段,从早期的状态检测(StatusInspection)到后来的深度包检测(DeepPacketInspection),现在已经发展到了最新的完全内容检测(CCI,CompleteContentInspection)。
状态检测只检查数据包的包头,深度包检测可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
网络卫士VONE网关在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP、UDP端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;从而形成了立体的、全面的访问控制机制,实现了全方位的安全控制。
4)多种SSLVPN技术结合实现应用全覆盖
目前SSLVPN接入技术大致分为三类:
WEB转发(WEBFORWARD),端口转发(PORTFORWARD)和全网接入(NETWORKACCESS或者称为IPTUNNEL)。
这三种技术的技术特点和适用范围各不相同,在网络卫士VONE网关中对这三种SSLVPN接入技术都做了很好的支持,用户可以根据自身应用系统的特点选择使用一种或多种接入方式。
WEB转发模式可以实现用户的完全无客户端接入,支持各种操作系统和客户浏览器平台。
但其缺点是仅支持B/S模式的应用系统,而且对客户应用系统的依赖性较强。
网络卫士VONE网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。
同时通过开放的页面替换规则框架,支持为用户个性化的业务系统自定义特殊的URL替换规则,进一步提高了系统的适应性。
端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。
这种模式的适应性比WEB转发要好,但其要求在客户端安装一个ACTIVEX控件。
网络卫士VONE网关实现了客户端透明代理,用户不需要修改本地的任何配置即能完成代理控件的安装和使用,大大简化了用户操作步骤。
全网接入模式通过SSL隧道转发客户端所有的IP请求报文,其适应性最好,能够支持基于IP协议的所有B/S和C/S业务系统,其同样要求在客户端系统上安装一个ACTIVEX的控件。
网络卫士VONE网关通过全网接入模式能够实现移动用户的虚拟IP地址分配,实现各种访问控制策略的下发,支持移动用户以分离隧道(SPLITTUNNEL即可以同时访问VPN和因特网)或完全隧道(FULLTUNNEL即只能访问VPN不能访问因特网)的方式接入VPN网络,大大提高了远程接入的安全性和灵活性。
5)支持虚拟桌面/虚拟应用
天融信公司的TopConnect客户端产品,即支持虚拟桌面模式,也支持虚拟应用模式。
通过这两种不同的使用模式,企业用户可以限制不同的用户使用不同的模式,即保证用户敏感数据的安全,又能减少网络管理的维护量,降低企业内部应用维护的人力物力成本。
针对业务应用丰富,使用环境单一的用户,或需要对智能移动终端进行管理和维护人员,可使用虚拟桌面模式。
在这种模式下,服务器直接将服务器端的个性化桌面展现给用户。
与传统的PC机相比较,除显示屏幕面积外,其余使用和操作没有任何差异。
而对于业务应用单一,使用环境复杂,或不能开发较多权限的用户,可使用虚拟应用模式。
在这种模式下,服务器只将特定的应用界面推送给用户。
除授权使用的应用外,用户无法使用其它任何应用,更无法对服务器进行修改和配置。
6)完善的身份认证技术
网络卫士VONE网关为通过SSL隧道接入的用户提供了完整的身份认证手段。
如果移动用户接入的环境比较简单、可信,管理员可以配置简单的“用户名+口令”认证方式,从而达到简单易用的效果;为了防止线路窃听和重播攻击,管理员可以采用“用户名+口令+图形认证码”的方式对移动用户进行身份认证;对于需要强身份认证机制的用户,管理员可以采用“数字证书”的认证方式,通过高强度的密码运算来保证用户身份标识不会受到“字典攻击”等暴力攻击的威胁;还可以通过“数字证书(USBKEY)+口令”的双因子认证方式来确保移动用户的证书不会被盗用,进一步加强认证的安全性。
网络卫士VONE网关还支持短信认证、图形码校验、硬件特征码校验。
支持基于web协议的认证方式,可以和业务资源的帐号系统使用一套,避免了在VONE上再次建立帐号,能够统一管理帐号,增强了易用性。
支持指纹认证,可以基于指纹信息进行认证。
VONE网关还支持多种认证方式的任意组合,为用户提供最强的安全接入机制。
网络卫士VONE网关还支持通过RADIUS/TARCAS/LDAP等标准协议与外部专用的用户身份认证管理系统进行互动,从而能够实现动态口令认证、域认证等高级的认证方式。
这既可以与用户的其他应用系统和安全产品共用用户认证数据库,实现用户集中管理和认证,又可以充分利用用户已有的资源。
7)多级用户授权机制和授权组合
授权是对移动用户通过身份认证接入网关后,允许访问的内网资源权限进行控制,是保护内网资源安全的主要技术手段。
网络卫士VONE网关采用多级授权机制和用户授权继承的策略,满足各种用户授权需求。
支持整体授权、条件授权、属性授权。
支持基于证书的属性字段的授权,支持基于外部属性(LDAP或Radius下发的属性值)的授权,也支持多条授权策略的组合。
在用户授权的粒度上,网络卫士VONE网关支持基于URL/目录/文件等访问内容的控制策略,支持用户行为动作的访问控制策略,支持基于访问时间的控制策略,能够充分满足管理员的各种用户授权需求。
8)完善的PKI体系提高用户网络的安全等级
随着VPN技术在政府、金融等高安全性要求领域的应用不断深入,用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。
网络卫士多合一VPN产品全面支持标准PKI体系结构,既能够通过内置的CA模块独立为移动用户签发数字证书,又能够通过导入CA根证书+CRL列表方式对第三方CA签发的证书进行认证,同时还能够通过OCSP/LDAP等标准协议向第三方CA提交在线证书认证请求。
具体的PKI功能包括:
Ø支持标准X509.V3格式数字证书;
Ø支持DER、PEM、PKCS12等多种证书编码格式;
Ø支持通过内置CA模块为用户签发标准数字证书;
Ø支持同时导入多个CA根证书和CRL列表,对不同CA签发证书进行认证;
Ø支持通过OCSP/LDAP等标准协议向第三方CA进行在线证书认证;
Ø支持生成PKCS10格式的证书请求,可生成证书请求,由第三方CA签名;
Ø支持CRL列表文件的导入和通过HTTP自动下载。
天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长期的合作,网络卫士VONE网关与这些厂商的CA系统均能够无缝集成。
9)卓越的网络及应用环境适应能力
网络卫士VONE网关构建于强大的TOS系统平台之上,天融信在网络与信息安全领域多年的技术积累和庞大的用户群为其提供了卓越的网络及应用环境适应能力。
其支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、SpanningTree、H.323、MMS、RTSP、ORACLESQL*NET、MSRPC等等,适用网络的范围非常广泛,充分保证了用户的网络的可用性。
同时,针对国内用户动态IP地址较多的现状,网络卫士VPN网关整合了天融信公司独立维护的EZVPN动态域名系统,为天融信VPN用户提供专用的动态地址域名解析服务,从而很好地解决了动态地址的VPN接入问题。
10)分级可信接入体系
天融信VPN网关还可对可信接入安全性检查结果进行分级,不同的级别可以授予不同的权限,对不满足安全要求的主机或终端,可以根据其缺陷程度分别实行隔离、修复和限制访问。
对于要求访问敏感信息服务器的用户,如果没有达到较高安全等级,可只授予与其安全等级匹配的普通权限。
这样既可以防止不安全的用户主机感染内部关键服务器,又可以保留其浏览公司普通Web服务器的权限,实现桌面的安全等级与访问资源的安全级别相匹配和访问权限的分级。
11)支持虚拟门户功能
SSLVPN提供了虚拟门户功能,从而使得企业及部门都可拥有自己独立的远程接入门户。
每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等。
12)分级管理和三权分立
天融信的VPN网关支持将管理员进行分级分组,一级管理员可以创建若干二级管理员,并给其进行授权,分配二级管理员可以管理的用户组,可以使用的资源组,可以使用的角色,是否可以创建下级管理员等。
二级管理员在其权限允许的范围内行使其权限,如添加、修改、删除用户,在权限范围内给用户授权,创建三级管理员,给三级管理员授权等。
天融信VPN网关最多可以支持16级的管理员分级管理,便于大型组织客户将管理权限下放,并可以根据需要授予不同的管理员不同权限。
支持管理员的三权分立,可分别授予不同类型的管理员不同的权限。
13)支持多种单点登录方式
支持多种单点登录方式,支持HTTP401方式、密码助手、WEB方式的单点登录,用户只需要进行一次认证即可访问所有授权的业务资源,大大提高了系统的易用性。
14)与企业门户无缝融合
许多大型企业已经拥有了自己的企业门户,我们的SSLVPN可以与用户的企业门户无缝融合,只需要简单替换一下企业门户中的登录URL即可实现。
许多企业已经部署了单点登录服务器,我们的SSLVPN也能够很好融合。
用户通过企业门户登录SSLVPN后,SSLVPN能够自动跳转Portal页面到企业的单点登录服务器页面,显示该用户的资源列表,同时在右下角显示一个SSLVPN小图标。
15)适应多种终端和系统平台
目前移动互联已成为新的应用趋势,天融信VONE针对移动终端提供了多种安全接入技术,能方便的实现通过智能终端移动办公。
支持虚拟桌面和虚拟应用的虚拟化接入技术,具有终端与后台业务数据分离和应用无关性的技术特点,能很好的解决移动终端接入所面临的数据安全性和应用适应性问题。
天融信TopConnect客户端是专门为智能移动终端提供安全接入的SSL客户端产品,不但支持传统的Windows/Linux操作系统,还支持iOS、Android等移动操作系统,未来还将支持WP8。
丰富的操作系统平台支持,意味着用户可以自由的选择终端产品,无需受限于某个特定的应用范围。
对于iOS、Andriod智能终端支持SSL的虚拟桌面接入,其中iOS还支持IPSEC“零安装”接入;对于Android、WindowsMobile系统的智能终端,还支持使用全网接入模式接入;对于PC系统,支持Windows2000、XP、2003、2008、Vista、Win7、Linux系统的接入。
16)智能递推
天融信VONE产品支持智能递推功能,只需要配置一个门户url,采用智能递推技术,即可自动将该门户url包含的子连接加入可以访问的资源列表,降低了管理配置工作量。
17)智能压缩
支持数据智能压缩功能,能够智能的根据当前传输数据的压缩比决定是否启用压缩,大大提高了传输的效率和应用的访问速度。
18)VPN集群功能
支持集群功能,能够使用多台VONE网关组成一个集群系统,大大提高了VPN网关的整体性能和可靠性,能够满足大并发用户数的需求。
天融信VPN采用基于TOS系统的智能集群技术。
它的基本工作模式是多台VPN网关并行工作,都处于正常的数据转发状态,对外提供统一接入IP,多台VPN网关之间相互备份,一旦某台设备故障时,其他的设备能够立即接替其工作,保证用户业务数据的不间断。
天融信VPN支持最多256台设备的集群和多种集群负载均衡策略;支持通过心跳口进行状态和Session同步,网关切换时无需用户二次认证。
19)符合国密局《SSLVPN技术规范》和《IPSECVPN技术规范》
天融信SSLVPN是严格按照国家密码管理局制定的《SSLVPN技术规范》和《IPSECVPN技术规范》进行开发的,并通过了国家密码管理局商用密码检测中心的检测,支持国家密码管理局规定的SM1(SCB2)、SM2、SM3商用密码算法。
二.3天融信VONE产品主要功能
类别
功能
详细描述
网络
适应性
工作模式
✧支持透明、路由、混合模式
路由
✧支持静态路由、动态路由
✧支持基于源/目的地址、接口、Metric的策略路由
✧支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能
✧支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能
✧支持RIP、OSPF等路由协议
✧支持多线路源路返回的智能选路
✧支持多线路捆绑和负载均衡
组播
✧支持IGMP组播协议
✧支持IGMPSNOOPING
✧可有效地实现视频会议等多媒体应用
VLAN
✧支持VlanTrunk
✧支持802.1Q,能进行封装和解封
✧支持ISL,能进行ISL的封装和解封
✧在同一个Vlan内能进行二层交换
✧支持QinQ技术(vlan-vpn),对报文进行二次基于802.1Q封装
生成树
✧支持802.1D生成树协议
ARP
✧支持ARP代理、ARP学习
✧可设置静态ARP
DHCP
✧支持DHCPClient、DHCPRelay、DHCPServer
接入
✧支持以太网、光纤、ADSL、DHCP等多种接入方式
其它
✧支持网络时钟协议SNTP,可自动根据NTP服务器的时钟调整本机时间
✧支持IPX、NetBEUI等非IP协议
PKI
证书格式
✧支持X.509V3数字证书
✧支持DER/PEM/PKCS12等多种证书编码
本地CA
✧支持内置CA,为其他设备或移动用户签发证书
✧可生成、吊销、删除证书
✧支持本地CA根证书、根私钥的更新
✧支持证书废弃,支持生成标准CRL列表
✧支持证书请求的生成,由第三方CA进行签名
✧支持证书链管理
✧内置支持SM2算法的CA
第三方CA
✧支持同时导入多个第三方CA的根证书和CRL列表,对不同CA证书用户进行身份认证,支持通过HTTP协议定时下载CRL列表
✧支持通过OCSP/LDAP等协议在线认证证书
SSLVPN
安全算法
✧支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法
✧支持国家商密专用的SM1(SCB2)、SM2、SM3算法
协议类型
✧支持SSL2.0/3.0TLS1.0
数据压缩与加速
✧支持高效流压缩算法
✧支持智能压缩
✧支持WebCache加速
用户认证
✧支持“用户名+口令”、“用户名+口令+图形认证码”认证
✧支持X.509数字证书认证
✧支持数字证书(USBKEY)+口令多因子认证
✧支持公共帐户登陆,支持临时禁止帐户登录
✧支持本地数据库认证
✧支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证
✧支持短信认证、图形码校验、硬件特征码校验
用户授权
✧支持角色授权、支持独立用户授权
✧支持基于URL、访问路径、访问文件、访问动作的细粒度授权
✧支持基于时间的访问授权方式
✧支持本地授权、支持外部组映射授权、支持证书用户授权
✧支持基于证书中的字段属性组合授权
应用支持
✧支持WEB转发、端口转发、全网接入模式
✧支持HTML、JAP、ASP、JAVAAPPLET、ACTIVE、Cookies等各种Web应用
✧支持基于IP协议的各种C/S应用,如EMAIL,FTP,E
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SSLVPN 项目 解决方案